[VÍDEO] Ainda não se atentou para importância da Documentação na Segurança da informação para os seus resultados?

Quando falamos sobre documentação em Segurança da Informação é muito comum ouvir de profissionais que “ainda não houve tempo na empresa para se dedicar a isso” ou que “todo mundo na área já conhece os procedimentos operacionais padrão”.

Ou seja, poucas são as empresas que realmente já se atentaram e investiram em documentar e registrar seus dados e processos, além de contar uma sólida Política de Backup e controle de acessos para prevenção e continuidade em momentos críticos.

Segundo uma pesquisa realizada pela Ponemon, a perda de informação é hoje o maior impacto financeiro de um ciberataque. Consequentemente, organizações com backup e recuperação avançados conseguiram reduzir o impacto e garantir a continuidade do negócio e proteção de dados.

Não importa o tamanho da sua empresa, toda organização possui informações sigilosas que, se extraviadas, podem provocar danos em toda a operação. Ter documentado seus processos, políticas e procedimentos é essencial porque:

• Traz maior eficiência operacional e melhoria contínua

Ao documentar padrões, procedimentos e políticas, você garante que seus processos de negócios mais críticos sejam realizados de forma consistente e que atenda às necessidades da empresa. Este tipo de documentação não só garante que os controles funcionem como pretendido, mas também ajuda na transferência de conhecimento e na proteção do negócio em casos de ataques, como os de Ransomware.

• Ajuda no gerenciamento de risco

Na falta de padrões, políticas e procedimentos claros e registrados com os quais os gestores e os próprios funcionários possam contar, há grandes possibilidades da sua empresa estar cega sobre processos inconsistentes e potencialmente errados.  E quando falamos sobre TI, qualquer inconsistência pode significar alto risco.

Para expandir e ajudar na sua reflexão, a Eco IT, em parceria com a Peck Advogados, produziu um vídeo sobre a importância de normas e documentações na segurança da informação e proteção de dados das Empresas. Confira:

Agora se você não está com tempo para ver o vídeo, ou prefere ler o conteúdo, acompanhe a transcrição do vídeo:

Vinícius – O Márcio é especialista em Direito Digital, assim como o escritório em que ele é sócio. A ideia de hoje é a gente bater um papo sobre a importância de normas e documentações em um ambiente de Segurança da Informação.

A Eco IT é pioneira em Cloud e especializada em Segurança Digital, principalmente proteção de dados corporativos.

Como diferencial, a gente entrega uma política de backup e recuperação de dados para todos os nossos clientes.

Eu queria que você falasse um pouco sobre qual é essa importância de uma documentação, de seguir essas normas dentro de um ambiente de Segurança da Informação, principalmente no momento que precisa recuperar esse ambiente.

Márcio – Mais uma vez obrigado, Vinicius. Esse tema é um tema que passou a ser de interesse de todo mundo e não só daqueles que já se importavam, porque já tinham passado por alguma situação que demandava esse tipo de preocupação. Por exemplo, os últimos incidentes que a gente teve dos ransomware, principalmente o Wanna Cry, que movimentaram o mundo inteiro com afetações em todos os países e com prejuízos até difíceis de mensurar.

Toda essa preocupação na utilização de ferramentas, da utilização de normas, de rotinas para poder em um incidente desse conseguir ter um impacto mínimo no funcionamento do seu negócio – impacto a gente fala de tudo, tanto financeiro quanto organizacional – então, a utilização  de ferramentas como as que a Eco IT fornece para seus clientes e também dentro da sua estrutura ter normas que permitam, primeiramente tentar evitar a ocorrência, mas se eventualmente acontecer, havendo incidentes, decidir que caminho seguir para poder minimizar esses riscos são de extrema importância.

Quem tem uma norma de backup, uma norma de restore, esse tipo de norma interna, sofreu um pouco menos nesses últimos ataques, não permitindo ter um conteúdo seu criptografado, sequestrado. Você simplesmente conseguir acionar o seu backup e restaurar sua operação sem ser impactado diretamente, é de extrema importância.

Então, a existência desse tipo de norma – em um momento de desespero da operação sempre paralisada, de ter cliente preocupado, ligando e cobrando –  esse fluxo de reativação de um backup e até mesmo uma resposta ao incidente, passa ser aquela chave para garantir a tranquilidade da empresa num momento desse.

A gente fala até que pode ser feito um paralelo entre a segurança cibernética com a segurança patrimonial, física, tradicional. A gente só dá valor para isso quando sofre um incidente, quando tem uma invasão. Infelizmente a gente tem esse mesmo perfil no mercado atual. Aquelas empresas, que já sofreram com isso, que já tem uma preocupação maior, sem dúvidas já estão preparadas nesse aspecto com soluções tecnológicas aliadas a boas práticas de governança corporativa, que aí a gente fala tanto de cumprimento de legislações específicas e melhores práticas do mercado e até mesmo normas técnicas, que são de essencial importância para evitar esse tipo de prejuízo.

V – Você acha que esse tipo de norma, de política, esse tipo de documentação é aplicada só para grandes empresas, porque elas normalmente se preparam mais? Ou você acha que faz sentido também para pequenas e porque isso acontece? Como que é isso para você?

M – Eu acho que esse incidente que a gente teve deixa bem claro que pode acontecer com todo mundo. Pode e acontece. De fato a gente tinha de grandes corporações, empresas familiares até pequenos escritórios com uma, duas, três pessoas sendo afetadas diretamente e, obviamente, esses menores até com um prejuízo muito maior.

Isso porque você não tem capacidade de botar outra equipe de fora, de outra empresa, de outra cidade para poder tentar substituir, compensar e suprir essa carência de um quadro de funcionários mais restrito. Então, para essas pequenas empresas que não passaram por incidentes, eu acho que esse é o grande problema quando a gente fala em segurança cibernética, porque todo mundo acha que “isso nunca vai acontecer comigo”.

E esses incidentes recentes deixaram bem claro que acontece com todo mundo. O fato de você ser pequeno não é suficiente pra você deixar de se preocupar. Pelo contrário, você pode até ser alvejado com mais facilidade.

O bandido vai tentar assaltar a casa que está sem a grade, que está sem o cachorro, a cerca elétrica. E a mesma coisa acontece no ambiente digital. O cyber hacker vai tentar fazer esse tipo de invasão, de acesso não autorizado, de sequestro de dados a partir do momento que ele identificar uma fragilidade.

Então, ter esse tipo de postura, uma devida existência de normas internas e soluções tecnológicas para garantir esse tipo de proteção passa a ser essencial para todo tipo de empresa.

V – Uma coisa que eu sempre falo para os nossos clientes, principalmente para potenciais clientes que ainda estão começando a entender isso, é que não é porque você está se baseando em uma norma, por exemplo, ISO 27001 – que é uma norma gigante de segurança da informação – que não só se aplica para grandes, ali existem coisas que se aplicam para cada detalhe de empresa de qualquer porte.

Por exemplo, você perdeu o seu primeiro backup, onde está o outro? Em que distância está o segundo backup? Aí vem o backup em nuvem. Então quer dizer que não é porque você tem uma norma, uma política de backup, que você quer tirar uma certificação de ISO.

Você vai utilizar a experiência de outras empresas e o que já viu como melhores práticas para aplicar em um negócio qualquer. Faz sentido para você?

M – Com certeza. As normas técnicas existem para poder dar uma orientação sobre as melhores práticas e aquilo que já foi obviamente objeto de alguns incidentes e aprendizado de alguns anos.

V – Teoria baseada em práticas.

M – Com certeza. E a preocupação que a gente tem pra certificar, lógico que é um diferencial de mercado. A empresa se certifica pra mostrar que ela tem uma maturidade naquele aspecto. No caso do ISO 27000, com relação a Segurança da Informação, mas mais do que isso, mais do ostentar um selo, ostentar esse diferencial é o resultado prático disso, que é realmente você não se abalar financeiramente, economicamente e até mesmo emocionalmente quando você tem esse tipo de incidente.

V – Você tem uma ideia mais ou menos de quanto custa para uma empresa se recuperar de um incidente de segurança cibernética? Quanto custa para ela desde escritório de advocacia até recuperação de dados?

M – Temos, sim. A gente tem pesquisas e dados estatísticos que no passado mencionaram cifras em torno de USD 100.000,00 e isso já é altamente expressivo. Dados mais recentes como, por exemplo, uma pesquisa do Ponemon que tem um levantamento médio no Brasil, de custos envolvendo o incidente de vazamento de dados, giram em torno de USD 1.5 milhões.

V – Isso no Brasil?

M – No Brasil, que é inclusive o país que tem o custo mais baixo do ranking.  A melhor forma de demonstrar a necessidade de investimento em uma tecnologia, investimento em uma solução é justamente a gente pensar no que a gente pode ganhar, mas também naquilo que a gente pode deixar de perder.

V – Na solução da Eco IT, por exemplo, de proteção de dados, a gente tem serviço, tecnologia e documentação. Se fosse dar o peso para esses três, se a empresa for contratar um software de backup, o quanto pesa isso? Jogando aqui a sua experiência. Quanto você acha que pesa cada um desses pontos? Serviço, a execução, o procedimento, o software em si, a tecnologia e a documentação e as normas.

M – É muito fácil a gente perceber isso, até quando a gente faz um paralelo com a segurança patrimonial mesmo. Não adianta nada a gente instalar uma cerca elétrica se a pessoa deixar a porta aberta. Não adianta nada você ter um cachorro, um muro se você deixa outras formas para acessar aquele ambiente e é a mesma coisa para ambiente digital. Segurança de informação a gente tem um tripé.

A gente tem a tecnologia, a gente tem as normas, a gente tem ali os serviços que são prestados e a própria cultura das pessoas. A gente precisa necessariamente dar a mesma importância para cada uma dessas três frentes de atuação como um tripé, porque se tirar uma perna, realmente vai cair.

Não adianta nada ter todo aquele investimento que você fez se você não tiver muito bem alinhado nesses aspectos.

V – Márcio, muito obrigado por conversar rapidamente com a gente aqui. Sem dúvida tem muito insight, muita coisa que vai ajudar os nossos clientes e as pessoas que assistem a gente aqui. Obrigado e você é sempre muito bem-vindo para falar com a gente.

M – Mais uma vez eu é que agradeço. Contem sempre conosco para qualquer dúvida relacionada tanto a segurança da informação, mas principalmente às soluções de mercado, às grandes preocupações que envolvem as empresas como a gente falou, de tudo quanto é tipo de porte.

V – A gente não pode esquecer de falar que o Peck Advogados fez a revisão da nossa Política de Backup que a gente entrega para os nossos clientes.

M – Exato. A gente trabalhou na revisão desse documento, tanto para a gente poder garantir as melhores práticas de Direito Digital, como também para acompanhar as legislações aplicáveis e as normas técnicas, exemplo da ISO 27000. Então, é importante a gente ter esse olhar jurídico, esse olhar realmente para uma consequência que pode trazer, a ausência de seguir-se uma regra com o olhar jurídico.

Porque o olhar simplesmente tecnológico acaba deixando de prever algumas situações como, por exemplo, a utilização desse tipo de norma, para não deixar de punir um colaborador, que deixar de seguir aquelas regras da empresa e isso tem um reflexo no passivo trabalhista e enfim, todos os outros que a gente pode ver como consequência. Passa a ser muito importante esse tipo de atuação em conjunto.  

É um trabalho que realmente é multidisciplinar. Uma pessoa só, um segmento só, não tem como cobrir todo esse aspecto.

V – Blindar, né?

M – A blindagem exige esse padrão, esse perfil multidisciplinar mesmo.